是否有可能无需用户交互就从加密文件系统/磁盘启动 Linux 操作系统?
背景:我正在准备一个 VmWare 映像,准备发送给客户。此映像包含敏感数据。唯一授予的访问权限应通过映像内部运行的 Apache 服务器进行。
答案1
(评论多于答案,但太长而无法添加为评论)
可能是的,但它可能无法解决您想要解决的问题。
在某个阶段,必须提供解密密钥才能访问加密文件系统。这通常是通过用户输入密码来完成的。我期望标准加密工具也提供从 USB 记忆棒、智能卡和其他硬件读取密钥的功能……因此不需要用户交互(我认为 TrueCrypt 在 Windows 上可以做到这一点,但不确定 Linux 是否如此)。
但是,最终,如果虚拟机在您的客户端计算机上运行,则解密密钥将最终位于该计算机上,因为它必须进行解密。因此,最终,技术熟练的人将完全访问您的数据。
您可以尝试将加密密钥隐藏在硬件中,就像 DVD 播放器、许多游戏机或较新的 iPod 一样,但这需要您的客户在他们的计算机中使用此类定制硬件;请记住,这也只是掩盖,而不是保护。
根本不把数据提供给客户,而是让应用程序从您自己的服务器以 Web 服务的形式查询数据,怎么样?